我正在考慮加入OpenID的爲我們的客戶面臨着管理和控制面板領域...OpenID改造,我可以相信敏感數據涉及的地方嗎?
1 - 關聯的OpenID與現有賬戶
對於已經擁有賬戶的美國客戶,我想他們需要使用我們發佈的現有帳號登錄,然後我會有一種機制將其OpenID與其帳戶管理區域中的該帳戶關聯起來(爲了爭辯,稱其爲「OpenID Manager」)。
在'OpenID管理器'中,假設用戶已經擁有OpenID,我會根據他們的OpenID對用戶進行身份驗證,然後將其與我們生成的帳號相關聯以用於未來的OpenID登錄(假設他們已通過身份驗證)。
2 - 敏感數據
雖然我們不存儲在我們的數據庫的完整信用卡數據有其他數據是敏感的,發票,域REG細節等看完這篇文章http://idcorner.org/2007/08/22/the-problems-with-openid/我後對以這種方式使用OpenID的想法持謹慎態度,與你們的人們普遍認同的是什麼?
在我看來,很多針對OpenID的爭論都是由無知或有斧頭的人來完成的。
例如,您鏈接的文檔中抱怨用URI標識自己是「非人性化並且有點可怕」。這是一個合理的投訴,還是某個人寫的東西拼命尋找事情抱怨?
提出的兩大問題是網絡釣魚和被盜用的賬號,這些論點已經重複了很多次,如果他們再次提出這些論點而沒有新的要點,很難讓人認真對待。
網絡釣魚防護取決於提供商。一些提供商提供比典型網站更好的安全性。有些提供商只提供典型的用戶名和密碼。無論哪種方式,如果一個帳戶被入侵,這是用戶和他們的提供者之間的事情,這不是你關心的問題。您不用擔心最終用戶在他們的計算機上安裝了鍵盤記錄程序,是嗎?這是因爲他們的地方安全不是你的責任,即使它可能被用來訪問他們的帳戶。與OpenID一樣 - 它的安全不是你的責任。
如果您損害了OpenID,它可以讓您訪問多個網站。當然,但電子郵件也是如此。只要說你忘記了密碼,並且你發送了一個新密碼。您現在可以訪問他們使用該電子郵件地址註冊的每個帳戶。
OpenID並不比現狀糟糕,在許多情況下,尤其是對於知情的用戶來說,它顯然更好。如果您仍然對此保持警惕,那麼只需將其設置爲可選即可,因此只有知情的用戶才能使用它。
我允許註冊多個使用特定帳戶的OpenID。這是一個很好的功能,因爲它允許用戶在出現需要時在OpenID之間遷移。
這就是說,這個「idcorner」鏈接引出了一個很好的觀點。我認爲他大量地誇大了安全問題,並且對OpenID提供者如何工作做了許多白癡的假設,但是OpenID確實無意取代所有形式的用戶驗證。它旨在讓「駕車」用戶通過某種形式的基本身份驗證與網站進行交互。